IT, 신기술개인정보보호

개인정보유출 사고 발생 시 시간의 흐름에 다른 기업의 대응 절차 및 방법

개인정보유출의 법적 요건과 기업의 책임 범위를 개인정보보호지침 및 대법원 판례를 통해 살펴보고, 실제 사고 발생 시 단계별 대응 절차를 정리했습니다. 해킹·업무과실 등 다양한 원인별 유출사고 예방과 72시간 내 신고 의무 등 기업이 반드시 알아야 할 핵심 대응 전략을 안내합니다.
법무법인민후's avatar
법무법인민후
Oct 21, 2025
개인정보유출 사고 발생 시 시간의 흐름에 다른 기업의 대응 절차 및 방법
Contents
‘개인정보유출’은 어디까지 인정될까?❗개인정보유출사고가 발생했을 때 시간의 흐름에 따른 기업 대응

개인정보유출 사고는 최근 뉴스에서 자주 듣게 되는 소식인 것 같습니다. 그리고 사고 발생 시 유출되는 개인정보의 양은 방대하며, 실제 경제적 피해로 이어지는 경우도 많기에 기업으로서는 이 같은 사고가 발생하지 않도록 사전적 노력이 필요하겠는데요.

한 통계자료에 따르면, 개인정보유출 사고의 원인은 해킹에 이어 업무과실이 많은 비중을 차지하고 있고, 해킹의 경우 원인이 밝혀지지 않은 경우를 제외하고 관리자페이지로의 비정상적 접속, SQL 인젝션이 많은 비중을 차지하고 있다고 합니다.

그렇다면 기업의 법적 책임을 논하기에 앞서 ‘개인정보유출’에 해당하기 위한 기본적 요건은 무엇인지, 개인정보유출 사고가 발생하였을 때 어떻게 대응해야 하는지 아래 내용에서 살펴보도록 하겠습니다.

‘개인정보유출’은 어디까지 인정될까?

표준 개인정보보호지침에 의하면 ‘개인정보유출’이란, 개인정보의 분실ㆍ도난ㆍ유출(이하 "유출등"이라 한다)은 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고 개인정보가 해당 개인정보처리자의 관리ㆍ통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것을 말합니다.

✔️ ‘개인정보유출’에 해당하기 위한 3요건

  1.  법령이나 개인정보처리자의 자유로운 의사에 의하지 않고

  2. 개인정보처리자의 관리·통제권을 벗어나

  3. 제3자가 그 내용을 알 수 있는 상태에 이르게 될 것

대법원 2014. 5. 16. 선고 2011다24555 판결

정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 '정보통신망법'이라고 한다)로 보호되는 개인정보의 누출(= 현재의 '유출')이란 개인정보가 해당 정보통신서비스 제공자의 관리․통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것을 의미하는바, 어느 개인정보가 정보통신서비스 제공자의 관리․통제하에 있고 그 개인정보가 제3자에게 실제 열람되거나 접근되지 아니한 상태라면, 정보통신서비스 제공자의 기술적․관리적 보호조치에 미흡한 점이 있어서 제3자가 인터넷상 특정 사이트를 통해 정보통신서비스 제공자가 보관하고 있는 개인정보에 접근할 수 있는 상태에 놓여 있었다고 하더라도 그것만으로 바로 개인정보가 정보통신서비스 제공자의 관리․통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 되었다고 할 수는 없다.

웹사이트가 일시적 오류로 타인의 개인정보 열람이 가능한 상황이 벌어졌으나, 실제로는 열람된 사례가 없는 경우, 개인정보유출로 볼 수 있을까?

이는 실제 대법원 판례(대법원 2014. 5. 16. 선고 2011다24555 판결)에서도 확인해볼 수 있습니다.

해당 사건에서 대법원은 웹사이트 오류로 정보주체 아닌 자가 타인의 개인정보를 열람할 수 있었으나, 실제로 개인정보가 타인에 의하여 열람되지 않은 경우, 당해 개인정보는 개인정보처리자의 관리,통제권 하에 있고 제3자가 내용을 알 수 있는 상태가 아니므로 개인정보유출에 해당하지 않는다고 판시하였습니다.

개인정보유출

개인정보유출사고가 발생했을 때 시간의 흐름에 따른 기업 대응

  1. 사고 발생 전 사전 대비 단계

사고가 발생하기 전 미리 최대한의 조치를 통해 예방하는 것이 가장 베스트이기에, 이 단계에서는 내부관리계획을 수립하고, 대응 매뉴얼을 작성해두며, 유출 상황 발생 시 어떻게 피해를 최소화하면 좋을지 준비하는 것이 필요합니다.

  1. 사고 발생 인지 단계

개인정보유출 사고가 터졌다면 이제 상황에 대한 신속한 파악이 필요하므로, 사실관계를 수집하고 분석하여 유출 여부, 범위 등에 대해 적확한 판단이 필요합니다.

  1. 긴급조치 단계

이 단계에서는 TF 대응팀을 구성하고, 피해를 최소화하기 위한 긴급적인 조치를 즉각 수행해야 합니다.

  1. 신고 또는 통지 단계

개인정보 유출이 발생하였다면 72시간 내로 개인정보보호위원회로 신고하거나 정보주체에 공지 등 통지가 되어야 합니다.

  1. 사후 대응 단계

실제 유출된 것에 대한 민원에 대응하고, 혼잡한 상황과 2차 피해를 최소화하기 위한 적극적인 조치가 필요한 단계입니다.

  1. 피해구제 단계

유출 사고로 인해 실제로 피해를 입은 피해자를 위한 보상절차가 이행되어야 합니다.

  1. 결과 보고, 재발 방지 보안 대책 수립 및 실행, 법적 의무 대응

유출 사고의 경과와 대응에 대한 보고와 향후 재발 방지를 위한 보안 대책이 수립되어야 하며, 손해배상 또는 과징금 등 법적 의무 부과에 대한 대응이 필요한 단계입니다.

  ⚖️    법무법인 민후    ⚖️

TEL : 02-532-3490

E-MAIL : counseling@minwho.kr

Kakao talk : @법무법인 민후

Share article

법무법인 민후|TEL : 02-532-3490 서울 강남구 테헤란로 134, 포스코타워 역삼 11층

RSS·Powered by Inblog